Marco
Qué es el Delegado de Protección de Datos en España, y por qué la ley lo hace indispensable.
El Delegado de Protección de Datos —en inglés, Data Protection Officer— es la figura a la que el Reglamento General de Protección de Datos confía informar y asesorar a la organización, supervisar el cumplimiento y cooperar con la autoridad de control. No decide los fines ni los medios del tratamiento —esa responsabilidad recae en el responsable—, pero garantiza, con independencia técnica, que la protección de datos se toma en serio en toda la organización.
La figura nace del propio Reglamento, en sus artículos 37 a 39, y se desarrolla en España mediante los artículos 34 a 37 de la Ley Orgánica 3/2018 (LOPDGDD). La ley española amplía notablemente los supuestos de designación obligatoria, exige comunicar el nombramiento a la Agencia Española de Protección de Datos en diez días y prevé una intervención específica del DPD en caso de reclamación.
Su posición está rodeada de garantías de independencia: no recibe instrucciones, no puede ser removido ni sancionado por desempeñar sus funciones —salvo en supuestos de dolo o negligencia grave— y está sujeto a secreto profesional. Además, España promueve un Esquema de Certificación AEPD-DPD que acredita la cualificación profesional, otorgado por entidades acreditadas por la ENAC.
Funciones del DPD
Las funciones legales del DPD, conforme al art. 39 del RGPD y al art. 37 de la LOPDGDD.
Informar y asesorar
Informar y asesorar al responsable, al encargado y a los empleados de sus obligaciones en virtud del RGPD y de la LOPDGDD.
RGPD art. 39.1.a
Supervisar el cumplimiento
Supervisar el cumplimiento del RGPD, de la LOPDGDD y de las políticas del responsable, incluyendo la formación y la sensibilización del personal.
RGPD art. 39.1.b
Asesorar sobre la EIPD
Ofrecer asesoramiento, cuando se le solicite, sobre la evaluación de impacto relativa a la protección de datos y supervisar su aplicación.
RGPD art. 39.1.c (art. 35)
Cooperar con la AEPD
Cooperar con la Agencia Española de Protección de Datos y actuar como punto de contacto, incluida la consulta previa del artículo 36.
RGPD art. 39.1.d–e
Intervención en reclamaciones
Atender, con carácter previo a la reclamación ante la autoridad, las reclamaciones que el afectado le dirija, comunicando la decisión en un plazo máximo de dos meses.
LOPDGDD art. 37
Punto de contacto del afectado
Actuar como punto de contacto de los afectados para todas las cuestiones relativas al tratamiento y al ejercicio de sus derechos.
RGPD art. 38.4
La posición del DPD (art. 38 RGPD · art. 36 LOPDGDD)
Implicación oportuna
El DPD se implica de forma adecuada y oportuna en todas las cuestiones relativas a la protección de datos.
RGPD art. 38.1Recursos y acceso
La organización facilita los recursos necesarios, el acceso a los datos y los medios para mantener sus conocimientos especializados.
RGPD art. 38.2Independencia — sin instrucciones
El DPD no recibe instrucciones sobre el desempeño de sus funciones y reporta al más alto nivel jerárquico.
RGPD art. 38.3Inamovilidad reforzada
El DPD no puede ser removido ni sancionado por desempeñar sus funciones, salvo en supuestos de dolo o negligencia grave.
LOPDGDD art. 36.2Secreto profesional
El DPD está obligado a mantener el secreto o la confidencialidad en el desempeño de sus funciones.
RGPD art. 38.5Sin conflicto de intereses
El DPD puede desempeñar otras funciones siempre que no generen conflicto; no puede ocupar un puesto que determine los fines y medios del tratamiento.
RGPD art. 38.6; WP243